Installer Microsoft Entra Connect en utilisant une base de données ADSync existante

Microsoft Entra Connect nécessite une base de données SQL Server pour stocker des données. Vous pouvez soit utiliser Base de données locale Express SQL Server 2019 par défaut installé avec Microsoft Entra Connect, soit utiliser votre propre version complète de SQL. Auparavant, quand vous installiez Microsoft Entra Connect, une nouvelle base de données nommée ADSync était toujours créée. Avec Microsoft Entra Connect version 1.1.613.0 (ou ultérieure), vous pouvez installer Microsoft Entra Connect en le pointant sur une base de données ADSync existante.

Avantages offerts par l’utilisation d’une base de données ADSync existante

Quand vous pointez sur une base de données ADSync existante :

• Sauf pour les informations d’identification, la configuration de la synchronisation dans la base de données ADSync (notamment les règles de synchronisation personnalisées, les connecteurs, le filtrage et la configuration des fonctionnalités facultatives) est automatiquement récupérée et utilisée pendant l’installation. Les informations d’identification utilisées par Microsoft Entra Connect pour synchroniser les modifications avec l’AD local et l’ID Microsoft Entra sont chiffrées et accessibles uniquement par le serveur Microsoft Entra Connect précédent.
• Toutes les données d’identité (associées au métaverse et aux espaces du connecteur) et les cookies de synchronisation stockés dans la base de données ADSync sont également récupérés. Le serveur Microsoft Entra Connect nouvellement installé peut continuer à synchroniser à partir de là où le serveur Microsoft Entra Connect précédent s’est arrêté, sans avoir à effectuer une synchronisation complète.

Scénarios où l’utilisation de la base de données ADSync existante est avantageuse

Ces avantages sont utiles dans les scénarios suivants :

• Vous disposez d’un déploiement Microsoft Entra Connect existant. Votre serveur Microsoft Entra Connect existant ne fonctionne plus, mais le serveur SQL contenant la base de données ADSync fonctionne toujours. Vous pouvez installer un nouveau serveur Microsoft Entra Connect et le faire pointer vers la base de données ADSync existante.
• Vous disposez d’un déploiement Microsoft Entra Connect existant. Votre serveur SQL contenant la base de données ADSync ne fonctionne plus. Toutefois, vous disposez d’une sauvegarde récente de la base de données. Vous pouvez tout d’abord restaurer la base de données ADSync sur un nouveau serveur SQL. Après cela, vous pouvez installer un nouveau serveur Microsoft Entra Connect et le faire pointer sur la base de données ADSync restaurée.
• Vous disposez d’un déploiement existant Microsoft Entra Connect qui utilise Base de données locale. En raison de la limite de 10 Go imposée par Base de données locale, vous souhaitez migrer vers la version complète de SQL. Vous pouvez sauvegarder la base de données ADSync à partir de Base de données locale et la restaurer sur un serveur SQL. Après cela, vous pouvez réinstaller un nouveau serveur Microsoft Entra Connect et le faire pointer vers la base de données ADSync restaurée.
• Vous essayez de configurer un serveur intermédiaire et souhaitez vous assurer que sa configuration correspond à celle du serveur actif actuel. Vous pouvez sauvegarder la base de données ADSync et la restaurer sur un autre serveur SQL. Après cela, vous pouvez réinstaller un nouveau serveur Microsoft Entra Connect et le faire pointer vers la base de données ADSync restaurée.

Informations relatives aux prérequis

Remarques importantes avant de continuer :

• Veillez à examiner les prérequis pour l’installation de Microsoft Entra Connect dans Matériel et prérequis, ainsi que les comptes et les autorisations requises pour l’installation de Microsoft Entra Connect. Les autorisations requises pour l’installation de Microsoft Entra Connect à l’aide du mode « Utiliser une base de données existante » sont identiques à celles d’une installation « Personnalisée ».
• Le déploiement de Microsoft Entra Connect parallèlement à une base de données ADSync existante est uniquement pris en charge avec la version complète de SQL. Il n’est pas pris en charge avec Base de données locale SQL Express. Si vous souhaitez utiliser une base de données ADSync existante de Base de données locale, vous devez tout d’abord sauvegarder la base de données ADSync (Base de données locale) et la restaurer vers la version complète de SQL. Vous pourrez alors déployer Microsoft Entra Connect parallèlement à la base de données restaurée à l’aide de cette méthode.
• La version de Microsoft Entra Connect utilisée pour l'installation doit répondre aux critères suivants :
  • Version 1.1.613.0 ou ultérieure, ET
  • Identique ou ultérieure à la dernière version de Microsoft Entra Connect utilisée avec la base de données ADSync. Si la version de Microsoft Entra Connect utilisée pour l’installation est ultérieure à celle utilisée en dernier avec la base de données ADSync, une synchronisation complète peut être requise. Une synchronisation complète est nécessaire s’il y a des modifications de règle de synchronisation ou de schéma entre les deux versions.
• La base de données ADSync utilisée doit contenir un état de synchronisation relativement récent. La dernière activité de synchronisation avec la base de données ADSync existante doit avoir eu lieu au cours des trois dernières semaines, sinon une importation complète à partir de Microsoft Entra sera nécessaire pour mettre à jour le filigrane du répertoire.
• Quand vous installez Microsoft Entra Connect à l’aide du mode « Utiliser une base de données existante », la méthode d’authentification configurée sur le serveur Microsoft Entra Connect précédent n’est pas conservée. De plus, vous ne pouvez pas configurer la méthode de connexion pendant l’installation. Vous pouvez uniquement configurer la méthode de connexion une fois l’installation terminée.
• Vous ne pouvez pas avoir plusieurs serveurs Microsoft Entra Connect qui partagent la même base de données ADSync. Le mode « Utiliser une base de données existante » vous permet de réutiliser une base de données ADSync existante avec un nouveau serveur Microsoft Entra Connect. Il ne prend pas en charge le partage.

Étapes d’installation de Microsoft Entra Connect avec le mode « Utiliser une base de données existante »

1. Téléchargez le programme d’installation de Microsoft Entra Connect (AzureADConnect.MSI) sur le serveur Windows. Double-cliquez sur le programme d’installation de Microsoft Entra Connect pour démarrer son installation.
2. Une fois l’installation du fichier MSI terminée, l’Assistant Microsoft Entra Connect démarre le programme d’installation en mode Configuration rapide. Fermez la fenêtre en cliquant sur l’icône Quitter.
3. Démarrez une nouvelle invite de commandes ou session PowerShell. Accédez au dossier « C:\Program Files\Microsoft Entra Connect ». Exécutez la commande .\AzureADConnect.exe /useexistingdatabase pour démarrer l’Assistant Microsoft Entra Connect en mode d’installation « Utiliser une base de données existante ».

Remarque

Utilisez le commutateur /UseExistingDatabase uniquement lorsque la base de données contient déjà des données issues d'une précédente installation de Microsoft Entra Connect. Par exemple, lorsque vous migrez d'une base de données locale vers une base de données SQL Server ou lorsque le serveur Microsoft Entra Connect a été reconstruit et que vous avez restauré une sauvegarde SQL de la base de données ADSync à partir d’une précédente installation de Microsoft Entra Connect. Si la base de données est vide, c'est-à-dire, si elle ne contient aucune donnée d'une installation précédente de Microsoft Entra Connect, ignorez cette étape.

1. L’écran d’accueil de Microsoft Entra Connect s’affiche. Après avoir accepté les termes du contrat de licence et la déclaration de confidentialité, cliquez sur Continuer.

2. Dans l’écran Installer les composants nécessaires, l’option Utiliser un SQL Server existant est activée. Spécifiez le nom du serveur SQL qui héberge la base de données ADSync. Si l’instance du moteur SQL utilisée pour héberger la base de données ADSync n’est pas l’instance par défaut sur le serveur SQL, vous devez spécifier le nom de l’instance du moteur SQL. De plus, si l’exploration SQL n’est pas activée, vous devez également spécifier le numéro de port de l’instance du moteur SQL. Par exemple :
   

3. Sur l’écran Se connecter à Microsoft Entra, vous devez fournir les informations d’identification d’un administrateur d’identités hybrides de votre répertoire Microsoft Entra ID. Nous vous recommandons d’utiliser un compte du domaine onmicrosoft.com par défaut. Ce compte est uniquement utilisé pour créer un compte de service dans Microsoft Entra ID et n’est plus utilisé une fois l’assistant terminé.

4. Dans l’écran Connexion de vos annuaires, une icône de croix rouge est affichée en regard de la forêt AD existante configurée pour la synchronisation d’annuaire. Pour synchroniser les modifications à partir d’une forêt AD locale, un compte de domaine AD DS est nécessaire. L’Assistant Microsoft Entra Connect ne peut pas récupérer les informations d’identification du compte AD DS stockées dans la base de données ADSync, car elles sont chiffrées et peuvent uniquement être déchiffrées par le serveur Microsoft Entra Connect précédent. Cliquez sur Modifier les informations d’identification pour spécifier le compte AD DS pour la forêt AD.

5. Dans la boîte de dialogue contextuelle, vous pouvez (i) entrer les informations d’identification d’un administrateur d’entreprise et laisser Microsoft Entra Connect créer le compte AD DS pour vous, ou (ii) créer vous-même le compte AD DS et fournir ses informations d’identification à Microsoft Entra Connect. Une fois que vous avez sélectionné une option et fourni les informations d’identification nécessaires, cliquez sur OK pour fermer la boîte de dialogue contextuelle.

6. Une fois les informations d’identification fournies, la croix rouge est remplacée par une coche verte. Sélectionnez Suivant.

7. Dans l’écran Prêt à configurer, cliquez sur Installer.

8. Une fois l’installation terminée, le serveur Microsoft Entra Connect est automatiquement activé pour le Mode intermédiaire. Nous vous recommandons de vérifier la présence de modifications inattendues dans la configuration du serveur et les exportations en attente avant de désactiver le Mode de préproduction.

Tâches postérieures à l’installation

Lorsque vous restaurez une sauvegarde de base de données créée par une version de Microsoft Entra Connect préalable à 1.2.65.0, le serveur de intermédiaire sélectionne automatiquement la méthode de connexion sans configuration. Les préférences en matière de synchronisation du hachage de mot de passe et de réécriture du mot de passe seront restaurées, mais vous devrez modifier la méthode de connexion pour faire correspondre les autres stratégies en vigueur pour votre serveur de synchronisation actif. Si vous ne le faites pas, les utilisateurs ne pourront peut-être pas se connecter en cas d’activation de ce serveur.

Le tableau ci-dessous vous permet de vérifier les étapes supplémentaires éventuellement requises.

Fonctionnalité	Étapes
Synchronisation du hachage de mot de passe	La synchronisation du hachage de mot de passe et les paramètres de réécriture du mot de passe sont entièrement restaurés pour Microsoft Entra Connect version 1.2.65.0 et ultérieures. Si vous restaurez le système depuis une version plus ancienne de Microsoft Entra Connect, parcourez les paramètres relatifs aux options de synchronisation associés à ces fonctions, afin de vous assurer qu’ils correspondent au serveur de synchronisation actif. Aucune autre étape de configuration n’est nécessaire.
Fédération avec AD FS	Les authentifications Azure continuent à utiliser la stratégie AD FS configurée pour votre serveur de synchronisation actif. Si vous utilisez Microsoft Entra Connect pour gérer votre batterie AD FS, vous pouvez modifier la méthode de connexion à la fédération AD FS, afin de préparer la conversion du serveur de secours en instance de synchronisation active. Si les options de l’appareil sont activées sur le serveur de synchronisation actif, configurez ces options sur ce serveur en exécutant la tâche de configuration des options de l’appareil.
Authentification de transmission directe et authentification unique de bureau	Mettez à jour la méthode de connexion afin qu’elle correspond à la configuration sur votre serveur de synchronisation actif. Si vous ne le faites pas avant la promotion du serveur en tant que serveur principal, l’authentification directe ainsi que l’authentification unique transparente seront désactivées. De plus, votre locataire risque d’être bloqué si la synchronisation du hachage de mot de passe n’est pas sélectionnée en tant qu’option de connexion de secours. Notez également que lorsque vous activez l’authentification directe en mode de processus de site, un nouvel agent d’authentification est installé et enregistré, et s’exécute comme un agent de haute disponibilité qui accepte les demandes de connexion.
Fédération avec PingFederate	L’authentification Azure continue à utiliser la stratégie PingFederate configurée pour votre serveur de synchronisation actif. Vous pouvez éventuellement modifier la méthode de connexion à PingFederate, afin de préparer la conversion du serveur de secours en instance de synchronisation active. Cependant, cette étape peut attendre la nécessité de fédérer des domaines supplémentaires avec PingFederate.

Étapes suivantes

• Microsoft Entra Connect étant installé, vous pouvez vérifier l’installation et attribuer des licences.
• Pour en savoir plus sur ces fonctionnalités activées lors de l’installation, consultez Prévention des suppressions accidentelles et Santé de Microsoft Entra Connect.
• Pour en savoir plus sur ces sujets courants, consultez l’article Planificateur Azure AD Connect Sync.
• Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.